Was Sie über Golang-basierte Malware wissen müssen

| Von

Golang Malware Ransomware Cryptominer

Golang wird für viele Malware-Entwickler zur bevorzugten Programmiersprache. Laut dem Cybersicherheitsunternehmen Intezer hat die Vielfalt der auf Go basierenden Malware-Angriffe seit 2017 um fast 2000 Prozent zugenommen.

Es wird erwartet, dass die Vielfalt der Angriffe mit dieser Art von Malware in den nächsten Jahren zunehmen wird. Was am beunruhigendsten ist, ist, dass wir viele Gefahrenstars sehen, die auf zahlreiche Betriebssysteme mit dem Druck einer einsamen Go-Codebasis abzielen.

Hier ist alles, was Sie sonst noch über diese aufkommende Gefahr wissen müssen.

Was ist Golang?

Go (auch bekannt als Golang) ist eine Open-Source-Programmsprache, die noch relativ neu ist. Es wurde 2007 von Robert Griesemer, Rob Pike und auch Ken Thompson bei Google entwickelt, obwohl es erst 2009 offiziell der Öffentlichkeit vorgestellt wurde.

Es wurde als Alternative zu C++ und Java erstellt. Das Ziel war es, etwas zu entwickeln, mit dem einfach zu arbeiten und für Designer sehr leicht zu überprüfen ist.

Warum verwenden Cyberkriminelle Golang?

Heutzutage gibt es unzählige auf Golang basierende Malware in freier Wildbahn. Sowohl staatlich gesponserte als auch nicht-staatlich gesponserte Hacker-Gangs haben es genutzt, um eine Vielzahl von Stress zu erzeugen, darunter Remote-Access-Trojaner (RATs), Stealer, Coin-Miner sowie Botnets unter anderem.

Was diese Art von Malware zusätzlich wirksam macht, ist die Methode, mit der sie auf Windows, macOS und auch Linux mit genau derselben Codebasis abzielen kann. Dies deutet darauf hin, dass ein Malware-Entwickler einmal Code erstellen und anschließend diese einzelne Codebasis verwenden kann, um Binärdateien für mehrere Plattformen zusammenzustellen. Unter Verwendung statischer Verknüpfungen kann ein von einem Designer für Linux geschriebener Code auf Mac oder Windows funktionieren.

Was #Golang wird am häufigsten verwendet für #Programmierung #codierung #Code #dev #webdev #CodeNeuling # 100DaysOfCode # 69DaysOfCode #WomenWhoCode pic.twitter.com/Fv8v5v8Gd5

— kuka0len (@kuka0len) 15. Februar 2021

Wir haben go-basierte Krypto-Miner gesehen, die sowohl auf Windows- als auch auf Linux-Geräte abzielen, zusammen mit plattformübergreifenden Kryptowährungs-Stealern mit Trojaner-Anwendungen, die auf macOS, Windows sowie Linux-Tools funktionieren.

Zusätzlich zu dieser Anpassungsfähigkeit haben sich in Go geschriebene Drucke auch als äußerst hinterhältig erwiesen.

Mehrere haben Systeme unentdeckt infiltriert, hauptsächlich aufgrund der Tatsache, dass in Go erstellte Malware groß ist. Darüber hinaus sind Binärdateien in Go aufgrund der festen Verbindung deutlich stärker im Gegensatz zu denen in verschiedenen anderen Sprachen. Zahlreiche Antiviren-Softwarelösungen werden nicht bereitgestellt, um so große Dokumente zu überprüfen.

Darüber hinaus ist es für die meisten Antivirenprogramme schwieriger, verdächtigen Code in der Go-Binärdatei zu entdecken, da sie unter einem Debugger anders aussehen als andere, die in zusätzlichen traditionellen Sprachen geschrieben sind.

Es hilft nicht, dass die Funktionen dieser Show-Sprache es noch schwieriger machen, Go-Binärdateien zu entwickeln und auszuwerten.

Während viele Reverse-Engineering-Geräte gut ausgestattet sind, um aus C oder C++ kompilierte Binärdateien auszuwerten, bestehen bei Go-basierten Binärdateien immer noch neue Hindernisse für Reverse-Designer. Dies hat die Erkennungsraten von Golang-Malware besonders reduziert.

Go-basierte Malware-Stämme sowie Angriffsvektoren

Vor 2019 war die Identifizierung von in Go geschriebener Malware möglicherweise selten, aber in den letzten Jahren gab es einen stetigen Anstieg unangenehmer go-basierter Malware-Stämme.

Ein Malware-Wissenschaftler hat tatsächlich rund 10.700 einzigartige Malware-Stämme entdeckt, die in Go in freier Wildbahn geschrieben wurden. Eine der am weitesten verbreiteten davon sind RATs und auch Backdoors, aber in den letzten Monaten haben wir auch eine Menge gefährlicher Ransomware in Go gesehen.

ElektroRAT

Verfahren #ElektroRAT

Schon unzählige Krypto-Geldbörsen genommen. Umfangreiches Projekt besteht aus erstellten RAT in trojanisierten Anwendungen versteckt.

Windows-, Linux- sowie macOS-Beispiele unentdeckt in VirusTotal https://t.co/KyBqPhZ0jW pic.twitter.com/iba6GEZ67r

— Intezer (@IntezerLabs) 5. Januar 2021

Ein solcher in Golang komponierter Info-Stealer ist der unglaublich invasive ElectroRAT. Es gibt zwar viele dieser schrecklichen Informationsdiebe, aber was dieses Set heimtückischer macht, ist, wie es auf mehrere Betriebssysteme abzielt.

Die im Dezember 2020 entdeckte ElectroRAT-Kampagne umfasst plattformübergreifende Go-basierte Malware, die über eine Toolbox bösartiger Fähigkeiten verfügt, die von ihrer Linux-, macOS- und Windows-Version geteilt werden.

Diese Malware kann Keylogging, Screenshots erstellen, Dokumente von Festplatten hochladen, Dokumente herunterladen und installieren und auch Befehle ausführen, die nicht ihr endgültiges Ziel sind, Kryptowährungs-Wallets zu leeren.

Verwandte: ElectroRAT-Malware, die auf Kryptowährungs-Wallets abzielt

Die umfangreiche Kampagne, von der angenommen wird, dass sie ein Jahr lang unbemerkt geblieben ist, umfasste viel aufwendigere Techniken.

Die letzte umfasste die Erstellung einer gefälschten Website sowie gefälschte Konten in sozialen Netzwerken, die Erstellung von drei verschiedenen mit Trojanern infizierten Anwendungen im Zusammenhang mit Kryptowährung (jeweils für Windows, Linux und macOS), die Förderung der verschmutzten Anwendungen auf Krypto und auch in Blockchain-Foren wie Bitcoin Talk, und zieht Betroffene auf die Seiten der trojanisierten App.

Wenn ein Benutzer die Anwendung herunterlädt und anschließend ausführt, öffnet sich eine GUI, während die Malware hinter die Kulissen eindringt.

RobbinHood

Diese ominöse Ransomware machte 2019 Schlagzeilen, nachdem sie die Computersystemsysteme der Stadt Baltimore lahmgelegt hatte.

Die Cyberkriminellen hinter dem Druck von Robbinhood benötigten 76.000 US-Dollar, um die Dateien zu entschlüsseln. Die Systeme der Regierung waren praktisch einen Monat lang offline und außer Betrieb, und die Stadt gab angeblich zunächst 4,6 Millionen US-Dollar aus, um die Informationen in den beeinflussten Computersystemen zurückzugewinnen.

Probleme als Folge von Einkommensverlusten könnten die Stadt zusätzlich gekostet haben – bis zu 18 Millionen US-Dollar nach verschiedenen anderen Quellen.

Ursprünglich in der Programmiersprache Go codiert, verschlüsselte die Robbinhood-Ransomware die Daten des Opfers und fügte danach die Datennamen gefährdeter Dokumente mit der Erweiterung.Robbinhood hinzu. Danach legte er eine ausführbare Datei sowie eine Nachrichtendatei auf den Desktop-Computer. Die Nachrichtendokumente waren der Lösegeldschein mit den Bedürfnissen der Angreifer.

Zebrocy

#Apt 28
Zebrocys mehrsprachiger Malware-Salat https://t.co/uX2WxISvvl pic.twitter.com/4WPDCVDhNY

— blackorbird (@blackorbird) 4. Juni 2019

Im Jahr 2020 hat der Malware-Betreiber Sofacy eine Zebrocy-Variante entwickelt, die in Go erstellt wird.

Der Druck imitierte als Microsoft Word-Dokument und wurde auch über COVID-19-Phishing-Appelle verbreitet. Es funktionierte als Downloader, der Informationen vom System des infizierten Hosts sammelte und diese Informationen dann auf den Command-and-Control-Server hochlud.

Das Zebrocy-Arsenal, bestehend aus Droppern, Backdoors und auch Downloadern, ist tatsächlich seit Jahren im Einsatz. Die Go-Variante wurde jedoch erst 2019 entdeckt.

Es wurde von staatlich unterstützten Cybercrime-Teams gegründet und hat sich früher tatsächlich auf Ministerien für internationale Veranstaltungen, Konsulate und auch andere Bundesunternehmen konzentriert.

In Zukunft wird es noch mehr Golang-Malware geben

Go-basierte Malware wird immer beliebter und wird immer mehr zur Programmiersprache für Gefahrenstars. Seine Fähigkeit, mehrere Systeme ins Visier zu nehmen und über einen langen Zeitraum ungesehen zu bleiben, macht es zu einer ernsthaften Bedrohung, die es wert ist, fokussiert zu werden.

Dies weist darauf hin, dass es sich lohnt, hervorzuheben, dass Sie Standardvorkehrungen gegen Malware treffen müssen. Klicken Sie keine dubiosen Links an und laden Sie keine Add-Ons von E-Mails oder Websites herunter und installieren Sie sie – auch nicht, wenn sie von Ihren Freunden und Ihrer Familie stammen (die möglicherweise bereits infiziert sind).

Laut dem Cybersicherheitsunternehmen Intezer ist die Zahl der Go-basierten Malware-Stämme, die in freier Wildbahn gefunden wurden, seit 2017 um fast 2000 Prozent gestiegen. Was diese Art von Malware zusätzlich leistungsfähig macht, ist die Möglichkeit, Windows, macOS und Linux mit derselben Codebasis anzugreifen. Vor 2019 war die Erkennung von in Go erstellter Malware möglicherweise ungewöhnlich, aber in den aktuellen Jahren ist ein stetiger Anstieg an bösen Go-basierten Malware-Stämmen zu verzeichnen. Im Jahr 2020 hat der Malware-Betreiber Sofacy eine Zebrocy-Variante erstellt, die in Go geschrieben ist.

Klicken Sie, um diesen Beitrag zu bewerten!
[Gesamt: 0 Durchschnitt: 0]

Andere verwandte Artikel

SIEBEN MILLIONEN Minecraft-Konten gehackt

Dies ist eine kurze Geschichte von Blöcken, von denen abhängig ist, kompromittierte Konten, Vertuschungen sowie eine der bekanntesten Minecraft-Community-Sites. Die…

Schreibe einen Kommentar